Текущий архив: 2004.03.03;
Скачать: CL | DM;
Вниз
Новый вирь? Найти похожие ветки
← →
Lola © (2004-01-29 11:34) [80]Судя по тому, что мне пришли зараженные письма только на адреса, указанные в анкетах на сайтах, то скорее всего, что для распростанения вируса ребята использовали базу для спамеров, или сами просканировали сеть (что менее вероятно). Но это лично мое мнение.
← →
Anatoly Podgoretsky © (2004-01-29 11:36) [81]PVOzerski © (29.01.04 11:14) [77]
Антивирусы постарались. В НТ не знаю, а в 98 сам изничтожаю загрузки это хренотени.
← →
Axel © (2004-01-29 13:18) [82]VIRUS ALERT
AN UPDATE ON: MYDOOM
28 January 2004
ABOUT THE VIRUS
Since our 26 January alert, we"ve learned new important facts about MyDoom, including the fact that a new variant, MyDoom.B, is spreading, and seems to use the original MyDoom.A victims" machines as a launchpad.
MYDOOM.A UPDATES
New facts that should help you recognize and prevent MyDoom.A:
1) In our first alert, we only knew that MyDoom used random filenames with .EXE, .BAT, .SCR, .PIF, .CMD and .ZIP extentions. Since then, McAfee has released a list of filenames that the virus chooses from.
MyDoom"s attachment begins with one of these names (and ends with one of the previously described extensions):
* doc
* document
* message
* readme
* text
* hello
* body
* test
* data
* file
Sometimes MyDoom inserts a second extension, such as .TXT or
.HTM, in between the random filename and extension. In these
cases, there may be many spaces after the first extension in
order to fool you into thinking the file is harmless (e.g.,
document.htm [lots of whitespace] .exe).
2) If MyDoom infects one of your computers, MyDoom"s back door code attempts to open one port within a range of TCP ports (not only 3127, as we first described). The worm starts by attempting to listen on TCP port 3127, but if it fails to open, MyDoom tries the next sequential port. It continues down a range of ports until it either succeeds in opening one, or reaches TCP port 3198. The good news is that MyDoom only listens on these ports rather than attempting to make an outgoing connection. All firewalls must block ports 3127 through 3198 by default, so even if you become infected, MyDoom"s author cannot reach your computer unless you have added a custom service allowing any of the ports within this range.
Anti-virus experts surmise that MyDoom"s author has sent
instructions to the victim machines listening on these ports,
using them as unwitting email relays to launch MyDoom.B. This is why MyDoom.A victims are perceived as stepping stones for the spread of MyDoom.B.
3) Many of our readers have expressed concern because they are
receiving numerous "Undeliverable Message" notifications, or
messages from contacts and partners informing them that a
computer on their network has tried to send a virus. This is
a result of MyDoom spoofing its "From" address. Many anti-virus products can automatically reply to the address found in the "From" field of an infected e-mail, attempting to inform the supposed sender that they are infected with a virus. Because MyDoom spoofs its sender, you might have received such automated responses saying you are infected even when you are not. You can simply ignore such notifications. If you are contacted by a partner directly, you can explain to them that MyDoom lies about its sender, and anti-virus measures may claim an infected email has come from your network even when it has not.
MYDOOM.B DESCRIPTION
On the surface, MyDoom.B looks very much like the original.
According to McAfee, the virus still spoofs the sender"s address, uses the same random Subjects, and the same random attachments.
MyDoom.B does use a few new possibilities for its message body:
* sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received.
* Mail transaction failed. Partial message is available.
* The message contains Unicode characters and has been sent as a
binary attachment.
* The message contains MIME-encoded graphics and has been sent as a
binary attachment.
* The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
As we write this, unconfirmed threads on vulnerability lists we
monitor indicate you might encounter other subjects and text bodies
in MyDoom.B.
MyDoom.B contains a few new tricks. First, this variant attempts a
Denial of Service (DoS) attack against Microsoft, where MyDoom.A
attacked SCO. Also, MyDoom.B makes numerous changes to your
computer"s HOSTS file. The HOSTS file is a local file that your
computer refers to, before its DNS server, looking for the IP
address associated with a URL. MyDoom.B adds many false entries into this file for anti-virus and security information sites. This effectively prevents your computer from finding those sites so you can"t get new information about the new MyDoom variant.
The solution section from our original alert still contains valid instructions for blocking MyDoom.B"s attachments. However, our previous alert also recommended all WatchGuard firewall owners create a service specifically blocking TCP port 3127 both incoming and outgoing. We have since learned that the viruses can use between 3127-3198 and only listens on one of those ports. Since the backdoor is only listening, you do not have to make a service specifically blocking outgoing connections on these ports. By default, all firewalls must block incoming TCP port 3127-3198 and prevent the virus author from connecting to MyDoom"s backdoor.
← →
Anatoly Podgoretsky © (2004-01-29 13:26) [83]А вот на эти порты идут из Kaaza
Вообще то вирус очень старый, ранее назывался mimail, это просто его усиленная модификация
← →
blackman © (2004-01-29 16:08) [84]>использовали базу для спамеров
Не похоже. И на сканирование тоже.
Если бы базу, то на определенные адреса я бы уже получил :)
А если сканирование, то наоборот не получил бы по некоторым :)
Скорее всего именно база адресов Rambler в их шаловливых ручках, которые давно бы надо оторвать
← →
Странник © (2004-01-29 17:11) [85]похоже нашли, откуда ветер дует:
http://mignews.com.ua/disasters/world/108442.html
Как стало известно, ФБР произвело задержание нескольких сотрудников (программистов и менеджеров) компании SCO, а также осуществило обыск в головном офисе и изъятие одного из серверов и нескольких рабочих станций.
Подробности операции спецслужб особо не разглашаются, однако известно, что операция связана напрямую с судебной тяжбой между компаниями IBM и SCO. По имеющейся информации, все задержания связаны с расследованием, ведущимся ФБР в связи с эпидемией нового интернет-червя.
Предположительно, спецслужбам удалось проанализировать географию и скорость распространения червя, а так же выявить сам источник заражения – как ни парадоксально, саму компанию SCO.
Возможно, таким неожиданным ходом кто-то из сотрудников компании планировал настроить общественное мнение против Linux-сообщества, с которым ведет непримиримую юридическую войну SCO, пытаясь сорвать за лицензии на участки кода Linux/Unix "банк" в десятки миллиардов долларов.
← →
Lola © (2004-01-29 17:29) [86]
> Скорее всего именно база адресов Rambler
:))) А у меня на на рамблере и нет адресов;) Я сужу только по тем двум, которые так называемые "легальные", один эстонский, другой русский, которые я указываю в анкетах. А все остальные, на тех же почтовиках, остались "чистыми".
← →
DCoder © (2004-01-29 18:43) [87]http://www.avp.ru/news.html?id=145360576
В связи с многочисленными случаями заражения сетевым червем "Mydoom" ("Novarg"), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы.
...
Вы можете загрузить утилиту CLRAV по адресу: ftp://ftp.kaspersky.com/utils/clrav.zip
← →
SPeller © (2004-01-29 20:25) [88]Не ту ссылку скопировал.
http://www.avp.ru/news.html?id=145357396
← →
_none_ © (2004-01-30 03:08) [89]у меня по-прежнему все чисто... может мне кто-нибудь отфорвардит письмишко, а то все болеют, а я как-то не при делах -))
← →
ИМХО © (2004-01-30 03:28) [90]Молись Богу и дальше оставаться не при делах, кремлевский! :)
← →
Думкин © (2004-01-30 07:05) [91]> [89] _none_ © (30.01.04 03:08)
Какие твои годы. Мне только вчера вечером приходить стали, правда я их на дальних подходах не пущаю.
← →
KMD (2004-02-02 12:51) [92]...Заводите адреса "с номерами" типа admin81@...
Посмотрите на мессаги свои с указанием мыла, у вас без цифрового обз. Догонял скоро, и это тоже припушут.
← →
Maxim Vetera © (2004-02-04 20:31) [93]Сразу 3 пришло, жаль :-(. Наверно я мало известен в инете... а сегодня 4-ый порезаный какой весь пришел - и его жаль...
← →
AsmAdmin (2004-02-10 20:35) [94]Люди , пришлите экземплярчик , в архиве под паролем "a"
например , чтобы фильтры по дороге не съели ;)
а то до меня так и не дошло , а хочется , ведь 22 кб , да еще
и со встроенным почтовым клиентом ! Как в старые добрые
asm-овско - DOS-овские времена !
← →
Stranger2 (2004-02-11 18:01) [95]Здесь лежит сам вирус:
http://fido-online.com/x/_-0?Msg?5&785&3887&a18
Сейчас проходили по Интернету ;-) исходники. Но пока не нашел, выложил ли их кто-нибудь...
← →
Marser © (2004-02-11 18:16) [96]
> AsmAdmin (10.02.04 20:35) [94]
> Люди , пришлите экземплярчик , в архиве под паролем "a"
> например , чтобы фильтры по дороге не съели ;)
> а то до меня так и не дошло , а хочется , ведь 22 кб , да
> еще
> и со встроенным почтовым клиентом ! Как в старые добрые
>
> asm-овско - DOS-овские времена !
Какой встроенный клиент? Он, зараза, Аутлук использует.
← →
ИМХО © (2004-02-11 20:10) [97]Кстати, кто-нить в курсях, поток ослабел или как? Я просто прибил те ящики, куда мне валились вирусы.
← →
Anatoly Podgoretsky © (2004-02-11 21:51) [98]Да и потока как такового не было, другое дело SWEN идет не прекращая который месяц, по меньше чем в пик раз в десять, но штук триса каждый день, а этот в пик всего несколько десятков.
Страницы: 1 2 3 вся ветка
Текущий архив: 2004.03.03;
Скачать: CL | DM;
Память: 0.65 MB
Время: 0.021 c
